Spam über QMAIL


Dann müsste aber das Zip File ja noch irgendwo liegen. Diese PHP Datei habe ich per FTP noch runter geladen, nur bringt sie mir hier local ja nix.

Aber ich habe eine andere Datei gefunden gerade, eine OP.php diese habe ich ins tmp verschoben, beim FTP Download springt sofort der Virenscanner an, ist irgend nen Russischer Code als Beschreibung im Quelltext. Aber wie bekomme ich nun raus wie die auf den Server gekommen ist?

Code:
-rw-r--r-- 1 account     psacln     153171 Dec 14  2008 op.php
 
Das zip-File/tarball/whatever könnte im Nachhinein auch gelöscht worden sein. Die C99Shell ist übrigens recht gut dokumentiert.
 
Hallo Leute,

habe das gleiche Problem. Ich betreibe einen Forum auf phpBB3 Basis. Am Samstag abend hatte ich massenweise Failure Notice Emails bekommen.

Die Qmail Warteschlange hatte knapp 30000 Tausend Mails drin. Also Qmail gestoppt und Queue geleert. Leider startet der Plesk scheinbar Qmail immer wieder so habe ich heute Morgen wieder knapp 30000 Mails drin gehabt.
Heute im Laufe des Tages startete Qmail immer wieder und immer wieder waren ein paar Hunderte Mails drin.

Kann mir jemand ein Tipp geben wo ich nun nachsehen kann, wie genau die Mails versendet werden

Hier ein Auszug aus mail.info
Mar 30 17:35:19 h1334933 qmail-queue-handlers[11409]: recipient[3] = '[email protected]'
Mar 30 17:35:20 h1334933 qmail-queue-handlers[11420]: handlers dir = '/var/qmail//handlers/before-queue/recipient/[email protected]'
Mar 30 17:35:21 h1334933 qmail: 1269963321.522708 status: local 10/10 remote 19/20
Mar 30 17:35:23 h1334933 qmail-queue-handlers[11445]: starter: submitter[11512] exited normally
Mar 30 17:35:23 h1334933 qmail-queue-handlers[11409]: handlers dir = '/var/qmail//handlers/before-queue/recipient/[email protected]'
Mar 30 17:35:23 h1334933 qmail-queue-handlers[11452]: starter: submitter[11513] exited normally
Mar 30 17:35:24 h1334933 qmail-queue-handlers[11420]: starter: submitter[11514] exited normally
Mar 30 17:35:24 h1334933 qmail: 1269963324.662342 starting delivery 203170: msg 3741222 to remote [email protected]
Mar 30 17:35:26 h1334933 qmail: 1269963326.428402 status: local 10/10 remote 20/20
Mar 30 17:35:26 h1334933 qmail-queue-handlers[11409]: starter: submitter[11515] exited normally
Mar 30 17:35:26 h1334933 qmail: 1269963326.428449 delivery 203138: deferral: 64.71.138.87_does_not_like_recipient./Remote_host_said:_450_Service_not_availabl
e/Giving_up_on_64.71.138.87./
Mar 30 17:35:19 h1334933 qmail-queue-handlers[11483]: recipient[3] = '[email protected]'
Mar 30 17:35:27 h1334933 qmail: 1269963327.433013 status: local 10/10 remote 19/20
Mar 30 17:35:28 h1334933 qmail: 1269963328.621849 starting delivery 203171: msg 3741223 to remote [email protected]
Mar 30 17:35:29 h1334933 qmail: 1269963329.244866 status: local 10/10 remote 20/20
Mar 30 17:35:29 h1334933 qmail: 1269963329.244919 delivery 203141: failure: 59.36.102.50_failed_after_I_sent_the_message./Remote_host_said:_554_this_mail_is_
rejected_by_antispam_system,[email protected]&date=2010033023/
Mar 30 17:35:28 h1334933 qmail-queue-handlers[11483]: handlers dir = '/var/qmail//handlers/before-queue/recipient/[email protected]'
Mar 30 17:35:29 h1334933 qmail: 1269963329.867695 status: local 10/10 remote 19/20
Mar 30 17:35:30 h1334933 qmail-queue-handlers[11483]: starter: submitter[11527] exited normally
Mar 30 17:35:30 h1334933 qmail: 1269963330.993818 bounce msg 3741212 qp 7741
Mar 30 17:35:31 h1334933 qmail: 1269963331.524105 end msg 3741212
Mar 30 17:35:31 h1334933 qmail: 1269963331.524201 delivery 203123: success: did_0+1+0/qp_7552/
Mar 30 17:35:32 h1334933 qmail: 1269963332.147479 status: local 9/10 remote 19/20
Mar 30 17:35:32 h1334933 qmail: 1269963332.147615 delivery 203148: success: did_0+0+2/
Mar 30 17:35:32 h1334933 qmail: 1269963332.681355 status: local 8/10 remote 19/20
Mar 30 17:35:32 h1334933 qmail: 1269963332.681484 delivery 203149: success: did_0+0+2/
Mar 30 17:35:32 h1334933 qmail: 1269963332.681555 status: local 7/10 remote 19/20
Mar 30 17:35:32 h1334933 qmail: 1269963332.681625 delivery 203151: success: did_0+0+2/
Mar 30 17:35:32 h1334933 qmail: 1269963332.681697 status: local 6/10 remote 19/20
Mar 30 17:35:33 h1334933 qmail: 1269963333.148511 delivery 203154: success: did_0+0+2/
Mar 30 17:35:33 h1334933 qmail: 1269963333.148662 status: local 5/10 remote 19/20
Mar 30 17:35:33 h1334933 spamdyke[11507]: DENIED_OTHER from: (unknown) to: [email protected] origin_ip: 60.28.2.248 origin_rdns: freemx3.sinamail.sin
a.com.cn auth: (unknown)
Mar 30 17:35:33 h1334933 qmail: 1269963333.613383 delivery 203155: success: did_0+0+2/
Mar 30 17:35:33 h1334933 qmail: 1269963333.613637 status: local 4/10 remote 19/20
Mar 30 17:35:33 h1334933 qmail: 1269963333.613710 delivery 203159: success: did_0+0+2/
Mar 30 17:35:33 h1334933 qmail: 1269963333.613780 status: local 3/10 remote 19/20
Mar 30 17:35:33 h1334933 qmail: 1269963333.613866 delivery 203152: success: did_0+1+0/qp_7755/
Mar 30 17:35:33 h1334933 qmail-remote-handlers[11530]: Handlers Filter before-remote for qmail started ...
Mar 30 17:35:33 h1334933 qmail: 1269963333.617031 status: local 2/10 remote 19/20
Mar 30 17:35:33 h1334933 qmail: 1269963333.617325 delivery 203144: deferral: 64.71.138.87_does_not_like_recipient./Remote_host_said:_450_Service_not_availabl
e/Giving_up_on_64.71.138.87./
Mar 30 17:35:33 h1334933 qmail: 1269963333.617398 status: local 2/10 remote 18/20
Mar 30 17:35:33 h1334933 qmail: 1269963333.617469 delivery 203140: deferral: 64.71.138.84_does_not_like_recipient./Remote_host_said:_450_Service_not_availabl
e/Giving_up_on_64.71.138.84./
Mar 30 17:35:33 h1334933 qmail: 1269963333.617540 status: local 2/10 remote 17/20
Mar 30 17:35:33 h1334933 qmail: 1269963333.617612 delivery 203127: deferral: 64.71.138.88_does_not_like_recipient./Remote_host_said:_450_Service_not_availabl
e/Giving_up_on_64.71.138.88./
Mar 30 17:35:33 h1334933 qmail: 1269963333.617681 status: local 2/10 remote 16/20
Mar 30 17:35:33 h1334933 qmail: 1269963333.617754 delivery 203147: deferral: 220.181.12.52_failed_after_I_sent_the_message./Remote_host_said:_451_DT:SPM_mx2,
_NMCowKD7j9ZrF7JLfsI7AA--.398S2,_please_try_again_1269962604_http://mail.163.com/help/help_spam_16.htm?ip=85.214.22.229&hostid=mx2&time=1269962604/
Mar 30 17:35:33 h1334933 qmail: 1269963333.617823 status: local 2/10 remote 15/20
Mar 30 17:35:33 h1334933 qmail: 1269963333.617896 delivery 203156: deferral: 220.181.12.81_failed_after_I_sent_the_message./Remote_host_said:_451_DT:SPM_mx31
,_UcCowKBbD5Z9F7JLNAfyAA--.2180S2,_please_try_again_1269962623_http://mail.163.com/help/help_spam_16.htm?ip=85.214.22.229&hostid=mx31&time=1269962623/
Mar 30 17:35:33 h1334933 qmail: 1269963333.617987 status: local 2/10 remote 14/20
Mar 30 17:35:33 h1334933 qmail: 1269963333.618064 delivery 203157: failure: 220.181.12.52_failed_after_I_sent_the_message./Remote_host_said:_554_DT:SPM_mx2,_
NMCowKD7L+d5F7JLZcc7AA--.400S2_1269962619_http://mail.163.com/help/help_spam_16.htm?ip=85.214.22.229&hostid=mx2&time=1269962619/
Vielen Dank
Gruß Eddie
 
Last edited by a moderator:
Hallo Huschi,

danke für Deine Antwort. Du schreibst bei dir mit dem Wrapper für Sendmail, geht das ganze auch mit Qmail?

Gruß Eddie
 
So hier ist das erste Ergebnis:

habe es wie in deiner Anleitung beschrieben erledigt, die Pfade mußten bei mir etwas angepaßt werden. Aber es hat geklappt. Allerdings nur so lange ich selber via Script was versendet habe.

Ich habe den Qmail Dienst wieder gestartet und es waren auch wieder knapp 800 Spams in der Queue drin. Aber in der Log nichts davon zu sehen. Kann es evtl. sein daß von irgendeinem Konto das Passwort erraten worden ist?

Oder wie kann ich das noch überprüfen?

Gruß Eddie

Sorry den Auszug aus der send.mail vergessen:
2010-03-31T17:39:06+0200 sendmail-wrapper called from /srv/www/vhosts/aquacontroller.de/httpdocs/adm
2010-03-31T17:59:53+0200 sendmail-wrapper called from /srv/www/vhosts/aquacontroller.de/httpdocs/adm
2010-03-31T18:02:17+0200 sendmail-wrapper called from /srv/www/vhosts/aquacontroller.de/httpdocs/adm
2010-03-31T19:42:36+0200 sendmail-wrapper called from /usr/share/psa-horde/imp
 
Last edited by a moderator:

Back
Top